転送中のデータを保護するために、SSL 暗号化を有効にし、アプリケーションに CA 証明書をインストールします。SSL はトランスポート層で接続を暗号化します。これによりデータセキュリティとデータの整合性が向上しますが、接続応答時間は増加します。
注意事項
- SSL 証明書の有効期間は 1 年です。有効期限が切れる前に更新して、接続の失敗を防いでください。
- SSL 暗号化により CPU 使用率が大幅に増加する場合があります。インターネット向けのインスタンスに対してのみ有効化してください。内部ネットワーク接続は通常セキュアです。
SSL 暗号化の有効化
警告 この操作を行うとインスタンスが再起動されます。サービスの中断を避けるため、オフピーク時間に実施してください。
- AnalyticDB for PostgreSQL コンソールにログインします。
- コンソールの左上で、リージョンを選択します。
- 対象インスタンスを見つけ、インスタンス ID をクリックします。
- 左側のナビゲーションペインで、セキュリティコントロール をクリックします。
- SSL タブをクリックします。
- SSL 暗号化 スイッチをオンにします。
- SSL 暗号化を有効化 ダイアログボックスで、OK をクリックします。
- SSL 暗号化 のステータスが 有効 に変わったら、証明書のダウンロード をクリックします。
ダウンロードしたアーカイブには、次のファイルが含まれます:
- .p7b ファイル: Windows への CA 証明書のインポートに使用します。
- .pem ファイル:その他のオペレーティングシステムやアプリケーションへの CA 証明書のインポートに使用します。
- .jks ファイル: Java アプリケーションへの証明書チェーンのインポートに使用します。キーストアのパスワードは
apsaradbです。JDK 7 または JDK 8 の場合は、ホスト上の
jre/lib/security/java.securityファイルで次の設定を変更します:jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 224 jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024これらの変更を行わない場合、Java のセキュリティ設定が原因で次のエラーが発生する可能性があります。
javax.net.ssl.SSLHandshakeException: DHPublicKey does not comply to algorithm constraints
有効期間の更新
警告 この操作を行うとインスタンスが再起動されます。サービスの中断を避けるため、オフピーク時間に実施してください。
- AnalyticDB for PostgreSQL コンソールにログインします。
- コンソールの左上で、リージョンを選択します。
- 対象インスタンスを見つけ、インスタンス ID をクリックします。
- 左側のナビゲーションペインで、セキュリティコントロール をクリックします。
- SSL タブをクリックします。
- 有効期限の更新 の横にある SSL 暗号化 をクリックします。
- SSL 証明書の有有効期限の更新 ダイアログボックスで、OK をクリックします。
SSL 暗号化の無効化
警告 この操作を行うとインスタンスが再起動されます。サービスの中断を避けるため、オフピーク時間に実施してください。
- AnalyticDB for PostgreSQL コンソールにログインします。
- コンソールの左上で、リージョンを選択します。
- 対象インスタンスを見つけ、インスタンス ID をクリックします。
- 左側のナビゲーションペインで、セキュリティコントロール をクリックします。
- SSL タブをクリックします。
- SSL 暗号化 スイッチをオフにします。
- SSL 暗号化の無効化 ダイアログボックスで、OK をクリックします。
API リファレンス
| API | 説明 |
| DescribeDBInstanceSSL | インスタンスの SSL 暗号化の詳細を照会します。 |
| ModifyDBInstanceSSL | SSL 暗号化を有効化または無効化するか、SSL 証明書の有効期間を更新します。 |